GDPR: La tua azienda è in regola ? Cosa Aspetti ? AFFIDATI A NOI
Il 25 Maggio 2018 è il giorno a partire dal quale il nuovo regolamento privacy 679/2016 diventerà definitivamente e obbligatoriamente applicabile in tutti gli Stati Membri dell’Unione Europea. Incombe su tutte le realtà aziendali il dovere di conformarsi alle disposizioni del GDPR (General Data Protection Regulation – Regolamento Generale per la Protezione dei Dati).
Cosa dice il GDPR: Il regolamento indica ogni proprietario del sito come responsabile per il trattamento dei dati: viene infatti introdotto il principio di responsabilizzazione, secondo il quale il titolare del sito web ha la responsabilità di garantire nel modo migliore possibile la sicurezza dei dati raccolti e di dimostrare all’Ente di controllo l’utilizzo di tecniche adeguate alla natura dei dati. Il regolamento va a sostituire la vecchia Direttiva UE e ha lo scopo di rafforzare e rendere omogenea la protezione dei dati personali dei cittadini dell’UE dentro e fuori l’Unione.
Chi è il Data Protection Officier e quali aziende devono averlo? Il DPO (Data Protection Officier) è un professionista con competenze giuridiche e di analisi dei processi a cui viene affidato il compito di analizzare e organizzare la gestione del trattamento dei dati personali e la loro protezione all’interno di un’azienda (sia pubblica sia privata) nel rispetto della normativa.
Il DPO mantiene inoltre i contatti tra l’azienda e l’autorità di controllo nazionale (Garante Privacy).
La figura del DPO è obbligatoria per i seguenti soggetti:
- pubbliche amministrazioni ed Enti pubblici (ad eccezione delle autorità giudiziarie)
- aziende che come core business si occupano di acquisizione e gestione di dati personali su larga scala
- aziende la cui attività è incentrata sul trattamento su larga scala di cosiddetti dati sensibili (salute, giudiziari, biometrici, etc…)
Quali sono le principali novità introdotte dal GDPR? Le novità introdotte dal GDPR sono moltissime, senza scendere troppo nel dettaglio, segnaliamo le principali:
- Principio di responsabilizzazione (accountability)ovvero i titolari del trattamento dovranno sempre assicurare il rispetto dei principi applicabili al trattamento dei dati personali
- Data Protection by Designovvero la necessità di tenere conto del flusso dei dati e dei sistemi atti a garantirne protezione e portabilità fin dalla progettazione del servizio o del prodotto
- Valutazione preventiva di impatto del rischio sulla privacyprincipalmente nei casi in cui il rischio di violazione è molto elevato
- Obbligo di notifica in caso di violazione: eventuali violazioni dei dati devono essere notificate dal Titolare del trattamento all’autorità Garante e ai soggetti i cui dati sono stati violati entro 72 ore dal fatto
- Diritto all’oblio: l’utente ha diritto a richiedere in qualsiasi momento la cancellazione completa dei propri dati personali
- Portabilità dei dati: ovvero la possibilità per l’utente di richiedere una copia dei dati personali in formato elettronico utilizzabile e trasmissibile
Quali figure sono coinvolte?
- il Titolare: è titolare del trattamento dati personali la persona fisica o giuridica in quanto tale senza necessità di nomina, ad esempio, azienda l’azienda che raccoglie di dati ne è titolare in quanto tale
- il Responsabile: con il GDPR la nomina del Responsabile del trattamento dati personali diventa obbligatoria, in pratica è colui il quale elabora i dati per conto del titolare del trattamento;
- l’Incaricato: sono di fatto i dipendenti che trattano materialmente i dati. Nel GDPR questa figura non è esplicitamente menzionata ma la sua presenza viene richiesta implicitamente.
- l’Interessato: è la persona fisica a cui si riferiscono i dati.
- Data Protection Officier (DPO): figura professionale introdotta dal GDPR
Cosa si intende per consenso informato? Il consenso informato è un argomento centrale nel GDPR e prevede che ogni cittadino, consapevole del valore effettivo dei propri dati personali, debba esprimere chiaramente il consenso al rilascio di tali dati, dopo essere stato informato, in maniera comprensibile, circa la finalità, il tempo e le modalità del trattamento. Al cittadino inoltre viene data facoltà di richiedere in ogni momento l’elenco dei dati forniti e di pretenderne la cancellazione, poiché il GDPR introduce il Diritto all’oblio.